Eventlog 機碼

  • 發行項

事件記錄檔包含下列標準記錄和自訂記錄:

Log Description
應用程式 包含應用程式所記錄的事件。 例如,資料庫應用程式可能會記錄檔案錯誤。 應用程式開發人員決定要記錄的事件。
安全性 包含有效和不正確登入嘗試等事件,以及與資源使用相關的事件,例如建立、開啟或刪除檔案或其他物件。 系統管理員可以開始稽核,以記錄安全性記錄檔中的事件。
系統 包含系統元件所記錄的事件,例如驅動程式或其他系統元件在啟動期間載入失敗。
CustomLog 包含由建立自訂記錄的應用程式所記錄的事件。 使用自訂記錄可讓應用程式控制記錄檔的大小,或針對安全性目的附加 ACL,而不會影響其他應用程式。

事件記錄服務會使用 儲存在 Eventlog 登錄機碼中的資訊。 Eventlog機碼包含數個子機碼,稱為記錄。 每個記錄檔都包含事件記錄服務在應用程式寫入和讀取事件記錄檔時用來尋找資源的資訊。

Eventlog機碼的結構如下所示:

HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            Eventlog
               Application
               Security
               System
               CustomLog

請注意,網域控制站會記錄目錄服務和檔案複寫服務記錄中的事件,以及 DNS 伺服器記錄DNS 伺服器中的事件。

每個記錄檔都可以包含下列登錄值。

登錄值 Description
CustomSD 限制事件記錄檔的存取。 這個值的類型為 REG_SZ。 所使用的格式是 安全性描述元定義語言 (SDDL) 。 建構可授與下列一或多個許可權的 ACL:
清除 (0x0004)
讀取 (0x0001)
寫入 (0x0002)
若要成為語法有效的 SDDL,CustomSD 值必須指定擁有者和群組擁有者 (例如 O:BAG:SY) ,但不會使用擁有者和群組擁有者。 如果 CustomSD 設定為錯誤值,當事件記錄檔服務啟動時,系統事件記錄檔中就會引發事件,而事件記錄檔會取得與應用程式記錄檔原始 CustomSD 值相同的預設安全性描述元。 不支援 SCL。
如需詳細資訊,請參閱 事件記錄安全性
Windows Server 2003: 支援 SCL。
Windows XP/2000: 不支援此值。
DisplayNameFile 不使用這個值。 Windows Server 2003 和 Windows XP/2000: 儲存事件記錄檔當地語系化名稱的檔案名。 儲存在此檔案中的名稱會顯示為 事件檢視器 中的記錄檔名稱。 如果此專案未出現在事件記錄檔的登錄中,事件檢視器會將登錄子機碼的名稱顯示為記錄檔名稱。 這個值的類型為 REG_EXPAND_SZ。 預設值為 %SystemRoot%\system32\els.dll。
DisplayNameID 不使用這個值。 Windows Server 2003 和 Windows XP/2000: 記錄檔名稱字串的訊息識別碼。 此數位表示顯示當地語系化顯示名稱所在的訊息。 訊息會儲存在 DisplayNameFile 值所指定的檔案中。 這個值的類型為 REG_DWORD。
檔案 儲存每個事件記錄檔之檔案的完整路徑。 這可讓事件檢視器和其他應用程式尋找記錄檔。 這個值的類型為 REG_SZ 或 REG_EXPAND_SZ。 這是選擇性的值。 如果未指定值,它會預設為 %SystemRoot%\system32\winevt\logs\,後面接著以事件記錄檔登錄機碼名稱為基礎的檔案名。特定事件記錄檔路徑應該使用命令列公用程式wevtutil.exe或使用 EvtSetChannelConfigProperty 函式搭配傳入 PropertyId 參數的 EvtChannelLoggingConfigLogFilePath 來設定。
如果已設定特定檔案,請確定事件記錄服務具有檔案的完整許可權。
此值必須是位於本機目錄的檔案的有效檔案名, (不是遠端電腦、不是 DOS 裝置、不是磁碟片,也不是管道) 。 如果檔案設定錯誤,當事件記錄檔服務啟動時,系統事件記錄檔中就會引發事件。
請勿在檔案的路徑中使用環境變數,而該變數無法在事件記錄服務的內容中展開。
Windows Server 2003 和 Windows XP/2000: 此值預設為 %SystemRoot%\system32\config\ ,後面接著以事件記錄檔登錄機碼名稱為基礎的檔案名。 如果 [檔案] 設定設定為不正確值,則記錄檔將不會正確初始化,否則所有要求都會以無訊息方式移至預設記錄 (Application) 。
MaxSize 記錄檔的大小上限,以位元組為單位。 這個值的類型為 REG_DWORD。 此值必須設定為系統、應用程式或安全性記錄的倍數 64K。 預設值為 1MB。Windows Server 2003 和 Windows XP/2000: 此值限制為0xFFFFFFFF,預設值為 512K。
PrimaryModule 不使用這個值。Windows Server 2003 和 Windows XP/2000: 這個值是子機碼的名稱,其中包含事件來源子機碼中專案的預設值。 這個值的類型為 REG_SZ。
保留 這個值的類型為 REG_DWORD。 預設值為 0。 如果此值為 0,則一律會覆寫事件的記錄。 如果此值0xFFFFFFFF或任何非零值,則永遠不會覆寫記錄。 當記錄檔達到其大小上限時,您必須手動清除記錄檔;否則,會捨棄新的事件。 您也必須清除記錄檔,才能變更其大小。Windows Server 2003 和 Windows XP/2000: 這個值是時間間隔,以秒為單位,事件記錄會受到保護,以免遭到覆寫。 當事件存留期達到或超過此值時,可以覆寫它。
來源 不使用這個值。 Windows Server 2003 和 Windows XP/2000: 將事件寫入此記錄的應用程式、服務或應用程式群組名稱。 此值應該只能讀取且不會改變。 事件記錄服務會根據記錄下子機碼中列出的每個程式維護清單。 這個值的類型為 REG_MULTI_SZ。
AutoBackupLogFiles 這個值的類型為 REG_DWORD,而且由事件記錄服務用來判斷是否應該自動儲存事件記錄檔。 預設值為 0,這會停用自動備份。 只有在保留值為 -1 (0xFFFFFFFF) 時,服務才會備份記錄檔。 將會忽略其他值。Windows Server 2003: 保留期可以設定為 -1 (0xFFFFFFFF) 或 1 (0x00000001) ,讓 AutoBackupLogFiles 能夠運作。 將會忽略其他值。
RestrictGuestAccess 不使用這個值。 Windows XP/2000: 這個值的類型為 REG_DWORD,預設值為 1。 當此值設定為 1 時,它會限制對事件記錄檔的來賓和匿名帳戶存取,而當此值為 0 時,它允許來賓帳戶存取事件記錄檔。
隔離 定義記錄的預設存取權限。 這個值的類型為 REG_SZ。 您可以指定下列其中一個值:
  • 應用程式
  • 系統
  • Custom
預設隔離為 Application應用程式的預設許可權是使用 SDDL) 顯示 (:
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system               (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins            (read, write, clear)            L"(A;;0x7;;;SO)"                    // server operators           (read, write, clear)            L"(A;;0x3;;;IU)"                    // INTERACTIVE LOGON          (read, write)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON             (read, write)            L"(A;;0x3;;;S-1-5-3)"               // BATCH LOGON                (read, write)            L"(A;;0x3;;;S-1-5-33)"              // write restricted service   (read, write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers          (read)
系統會使用 SDDL) 顯示系統的預設許可權 (:
            L"O:BAG:SYD:"            L"(A;;0xf0007;;;SY)"                // local system             (read, write, clear)            L"(A;;0x7;;;BA)"                    // built-in admins          (read, write, clear)            L"(A;;0x3;;;BO)"                    // backup operators         (read, write)            L"(A;;0x5;;;SO)"                    // server operators         (read, clear)             L"(A;;0x1;;;IU)"                    // INTERACTIVE LOGON        (read)            L"(A;;0x3;;;SU)"                    // SERVICES LOGON           (read, write)            L"(A;;0x1;;;S-1-5-3)"               // BATCH LOGON              (read)            L"(A;;0x2;;;S-1-5-33)"              // write restricted service (write)            L"(A;;0x1;;;S-1-5-32-573)";         // event log readers        (read)
自訂隔離的預設許可權與應用程式相同。
Windows Server 2003 和 Windows XP/2000: 這個值無法使用。

每個記錄檔也包含事件來源。 如需詳細資訊,請參閱 事件來源